Opcje konfiguracji protokołu Microsoft Exchange

Aby odbierać zdarzenia z serwerów SMTP, OWA i śledzenia komunikatów z serwerów Microsoft Windows Exchange 2007, 2010, 2013 i 2017, należy skonfigurować źródło dziennika w celu korzystania z protokołu Microsoft Exchange.

Protokół Microsoft Exchange jest protokołem wychodzącym/aktywnym.

Aby odczytać pliki dziennika, ścieżki folderów zawierające współużytkowany zasób administracyjny (C$), wymagają uprawnień NetBIOS do współużytkowania administracyjnego (C$). Administratorzy lokalni lub domeny mają wystarczające uprawnienia do uzyskiwania dostępu do plików dziennika w akcjach administracyjnych.

Pola dla protokołu Microsoft Exchange, które obsługują ścieżki do plików, pozwalają administratorom na zdefiniowanie litery napędu z informacjami o ścieżce. Na przykład pole może zawierać katalog c$/LogFiles/ dla współużytkowanego zasobu administracyjnego lub katalog LogFiles/dla ścieżki folderu współużytkowanego zasobu współużytkowanego, ale nie może zawierać katalogu c:/LogFiles .

Ważne: Protokół Microsoft Exchange nie obsługuje protokołu Microsoft Exchange 2003 lub protokołu uwierzytelniania Microsoft NTLMv2 Session.
W poniższej tabeli opisano parametry specyficzne dla protokołu dla protokołu Microsoft Exchange:
Tabela 1. Parametry protokołu Microsoft Exchange
Parametr Opis
Konfiguracja protokołu Microsoft Exchange
Identyfikator źródła dziennika Wpisz adres IP, nazwę hosta lub nazwę, aby zidentyfikować źródło dziennika.
Adres serwera Adres IP lub nazwa hosta serwera Microsoft Exchange.
Domena

Wpisz domenę dla serwera Microsoft Exchange.

Ten parametr jest opcjonalny, jeśli serwer nie znajduje się w domenie.
Nazwa użytkownika Wpisz nazwę użytkownika, który jest wymagany do uzyskania dostępu do serwera Microsoft Exchange.
Hasło Wpisz hasło, które jest wymagane do uzyskania dostępu do serwera Microsoft Exchange.
Potwierdź hasło Wpisz hasło, które jest wymagane do uzyskania dostępu do serwera Microsoft Exchange.
Ścieżka folderu dziennika SMTP

Ścieżka do katalogu w celu uzyskania dostępu do plików dziennika SMTP.

Domyślna ścieżka do pliku to Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog

Jeśli ścieżka folderu jest jasna, kolekcja zdarzeń protokołu SMTP jest wyłączona.
Ścieżka folderu dziennika OWA

Ścieżka do katalogu w celu uzyskania dostępu do plików dziennika OWA.

Domyślna ścieżka do pliku to Windows/system32/LogFiles/W3SVC1

Jeśli ścieżka folderu jest jasna, kolekcja zdarzeń OWA jest wyłączona.
Ścieżka folderu dziennika MSGTRK

Ścieżka do katalogu, w którym mają być dostępne dzienniki śledzenia komunikatów.

Domyślna ścieżka do pliku to Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking

Śledzenie komunikatów jest dostępne na serwerach Microsoft Exchange 2017 lub 2010, które są przypisane do roli serwera centralnego transportu, skrzynki pocztowej lub serwera transportu brzegowego.
Użyj Niestandardowych Wzorców Plików Zaznacz to pole wyboru, aby skonfigurować niestandardowe wzorce plików. Pozostaw to pole wyboru, aby użyć domyślnych wzorców plików.
Wzorzec pliku MSGTRK

Wyrażenie regularne (wyrażenie regularne) używane do identyfikowania i pobierania dzienników MSTRK. Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.

Domyślnym wzorcem pliku jest MSGTRK\d+-\d+\.(?:log|LOG)$

Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.
Wzorzec pliku MSGTRKMD

Wyrażenie regularne (wyrażenie regularne) używane do identyfikowania i pobierania dzienników MSGTRKMD. Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.

Domyślnym wzorcem pliku jest MSGTRKMD\d+-\d+\.(?:log|LOG)$

Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.
Wzorzec pliku MSGTRKMS

Wyrażenie regularne (wyrażenie regularne) używane do identyfikowania i pobierania dzienników MSGTRKMS. Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.

Domyślnym wzorcem pliku jest MSGTRKMS\d+-\d+\.(?:log|LOG)$

Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.
Wzorzec pliku MSGTRKMA

Wyrażenie regularne (wyrażenie regularne) używane do identyfikowania i pobierania dzienników MSGTRKMA. Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.

Domyślnym wzorcem pliku jest MSGTRKMA\d+-\d+\.(?:log|
Wzorzec pliku SMTP

Wyrażenie regularne, które jest używane do identyfikowania i pobierania dzienników SMTP. Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.

Domyślnym wzorcem pliku jest *\.(?:log|LOG)$

Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.
Wzorzec pliku OWA

Wyrażenie regularne (wyrażenie regularne) używane do identyfikowania i pobierania dzienników OWA. Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.

Domyślnym wzorcem pliku jest *\.(?:log|LOG)$

Przetwarzane są wszystkie pliki, które są zgodne ze wzorcem.
Wymuszenie odczytu pliku Jeśli to pole wyboru nie jest zaznaczone, plik dziennika jest odczytyowany tylko wtedy, gdy program QRadar® wykryje zmianę w zmodyfikowanym czasie lub wielkości pliku.
Rekurencyjnie Tę opcję należy użyć, jeśli wzorzec pliku ma być przeszukiwany pod względem podfolderów. Domyślnie pole wyboru jest zaznaczone.
Wersja SMB

Wybierz wersję SMB, która ma być używana.

Auto
Automatycznie wykrywa najwyższą wersję, którą klient i serwer zgadzają się używać.
SMB1
Wymusza użycie komendy SMB1. SMB1 korzysta z pliku jCIFS.jar (Java™ ARchive).
Ważne: SMB1 nie jest już obsługiwany. Wszyscy administratorzy muszą zaktualizować istniejące konfiguracje w taki sposób, aby były używane SMB2 lub SMB3.
SMB2
Wymusza użycie komendy SMB2. SMB2 korzysta z pliku jNQ.jar .
SMB3
Wymusza użycie komendy SMB3. SMB3 korzysta z pliku jNQ.jar .
Uwaga: Przed utworzeniem źródła dziennika z określoną wersją SMB (na przykład SMBv1, SMBv2i SMBv3) należy się upewnić, że określona wersja SMB jest obsługiwana przez system operacyjny Windows, który działa na serwerze. Należy również sprawdzić, czy wersje SMB są włączone na określonym serwerze Windows Server.

Więcej informacji o tym, która wersja systemu Windows obsługuje wersje SMB, zawiera serwis WWW Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Aby uzyskać więcej informacji na temat wykrywania, włączania i wyłączania SMBv1, SMBv2i SMBv3 w systemach Windows i Windows Server, Przejdź do serwisu WWW Microsoft support (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Odstęp czasu odpytywania (w sekundach) Wpisz odstęp czasu odpytywania, który jest liczbą sekund między zapytaniami do plików dziennika w celu sprawdzenia nowych danych. Wartość domyślna to 10 sekund.
Zdarzenia ograniczania szybkości transmisji danych na sekundę Maksymalna liczba zdarzeń, które mogą być przekazywane przez protokół Microsoft Exchange na sekundę.
Kodowanie pliku Kodowanie znaków używane przez zdarzenia w pliku dziennika.